Konfigureer Microsoft Intune vir sekuriteitspatch- en -opdateringsbestuur

Konfigureer Microsoft Intune vir sekuriteitspatch- en -opdateringsbestuur

02/08/2025

Hierdie tegniese en opvoedkundige artikel is daarop gemik om sekuriteitsontleders, IT-administrateurs en stelselingenieurs te lei in die opstel en gebruik van Microsoft Intune om sekuriteitsreëlings en -opdaterings op Windows-toestelle doeltreffend te bestuur. In 'n voortdurend ontwikkelende kuberbedreigingslandskap, is die byhou van bedryfstelsels en toepassings een van die mees kritieke sekuriteitspraktyke om kwesbaarhede te versag en die organisasie teen aanvalle te beskerm. Microsoft Intune, as 'n Unified Endpoint Management (UEM) oplossing, bied robuuste gereedskap om die opdateringsproses te outomatiseer en te beheer [1].

Inleiding

Gebrek aan sekuriteitsreëlings en -opdaterings is een van die hoofoorsake van sekuriteitsbreuke. Bekende kwesbaarhede in bedryfstelsels en sagteware word gereeld deur aanvallers uitgebuit, wat 'n doeltreffende en outomatiese pleisterbestuursproses noodsaaklik maak. In moderne ondernemingsomgewings, met 'n verspreide arbeidsmag en 'n verskeidenheid toestelle, word handmatige opdateringsbestuur onprakties en foutgevoelig. Dit is waar Microsoft Intune skyn, wat 'n gesentraliseerde platform bied vir die bestuur en ontplooiing van opdaterings aan Windows-toestelle, om te verseker dat hulle veilig bly en voldoen [2].

Microsoft Intune laat jou toe om verskillende tipes Windows-opdaterings te bestuur, insluitend Kwaliteit-opdaterings, wat sekuriteit- en nie-sekuriteitsoplossings verskaf, en Kenmerkopdaterings, wat nuwe funksionaliteit en verbeterings lewer. Deur Update Rings-beleide en Feature Update-profiele kan administrateurs beheer wanneer en hoe opdaterings ontplooi word, wat gefaseerde ontplooiing moontlik maak om risiko te minimaliseer en versoenbaarheid te verseker. Daarbenewens bied Intune funksies om die voldoeningstatus van opdaterings te monitor en probleme op te los [3].

Hierdie hoe-om-gids sal die opstel van Update Rings en Feature Updates-profiele in Intune dek, die implementering van opdaterings op Windows-toestelle, die monitering van opdateringsvoldoening en die gebruik van verslae om probleme te identifiseer en op te los. Stap-vir-stap instruksies, praktiese voorbeelde en bondige verduidelikings sal verskaf word sodat die leser hierdie kenmerke kan implementeer, toets en valideer. Boonop sal sekuriteitswenke, nakomingskontrole en beste praktyke bespreek word om effektiewe, outonome, professionele en betroubare regstelling- en sekuriteitopdateringsbestuur te verseker.

Waarom is Microsoft Intune noodsaaklik vir pleisterbestuur?

  • Outomatisering en doeltreffendheid: Outomatiseer die aflewering van opdaterings, verminder administratiewe las en verseker dat toestelle altyd op datum is.
  • Korrelbeheer: Laat administrateurs toe om gedetailleerde beleide te stel oor wanneer, hoe en op watter toestelle opdaterings toegepas word, wat gefaseerde ontplooiing ondersteun.
  • Verbeterde sekuriteit: verseker dat die nuutste sekuriteitsoplossings vinnig toegepas word, wat kwesbaarhede versag en teen bekende uitbuitings beskerm.
  • Voldoening: Help om toestelle aan interne sekuriteitsbeleide en regulatoriese vereistes te voldoen.
  • Sigbaarheid en verslagdoening: Verskaf kontroleskerms en verslae om opdateringstatus te monitor, toestelle wat nie voldoen nie, te identifiseer en probleme op te los.
  • Gebruikerservaring: Laat jou toe om aktiewe tydvensters op te stel en herbegin spertye om die impak van opdaterings op gebruikerproduktiwiteit te verminder.

Voorvereistes

Om Microsoft Intune op te stel vir die bestuur van sekuriteitsreëlings en -opdaterings, benodig u die volgende items:

  1. Lisensiëring: 'n Microsoft Intune-lisensie (gewoonlik ingesluit by Microsoft 365 E3/E5, Enterprise Mobility + Security E3/E5-intekeninge) [4].
  2. Administratiewe toegang: 'n Rekening met die rol van Global Administrator of Intune Service Administrator in die Microsoft Intune-administrasiesentrum (https://intune.microsoft.com).
  3. Geregistreerde Windows-toestelle: Geregistreerde Windows 10/11-toestellegeskep in Microsoft Intune. Toestelle moet gekonfigureer word om opdaterings vanaf Windows Update (Windows Update for Business) te ontvang [5].

Stap vir stap: Konfigureer Microsoft Intune vir Patch Management

Kom ons stel opdateringsbeleide vir Windows-toestelle op.

1. Skep opdateringsringe vir Windows

Opdateringsringe is beleide wat bestuur hoe en wanneer Kwaliteit- en nie-sekuriteitopdaterings op toestelle toegepas word.

  1. Maak jou blaaier oop en navigeer na die Microsoft Intune-administrasiesentrum: https://intune.microsoft.com.
  2. Meld aan met 'n rekening wat die nodige toestemmings het.
  3. In die linkernavigasiepaneel, kies Toestelle > Deur platform > Windows.
  4. Onder Bestuur opdaterings, kies Windows Update Rings.

  5. Klik + Skep profiel.

  6. Basies:

    • Naam: Gee 'n betekenisvolle naam (byvoorbeeld: Anel_Atualizacao_Piloto_Windows).
    • Beskrywing: Verskaf 'n duidelike beskrywing (bv. Dateer ring vir vlieëniergroep op, met minimum vertraging.).

  7. Klik Volgende.

  8. Dateer luiinstellings op: Kwaliteitbywerkingsinstellings: * Instandhoudingsvlak van kwaliteitopdaterings: Algemene Beskikbaarheidskanaal. * Kwaliteitbywerkings uitstelperiode (dae): 0 (vir die loodsgroep, om opdaterings so vinnig as moontlik te ontvang). Vir groter groepe kan jy 3 tot 7 dae stel. * ** Bestuurderopdatering uitsteltydperk (dae): 0 (of 'n groter waarde vir die toets van bestuurders). Kenmerkopdateringsinstellings: * Kenmerkopdaterings-onderhoudsvlak: Algemene Beskikbaarheidskanaal. * Kenmerkopdatering uitsteltydperk (dae)**: '0' (vir loodsgroep). Vir groter groepe kan jy 30 tot 60 dae stel.

    • Eindgebruikerervaring-instellings:
      • Outo-bywerkingsgedrag: Installeer en herbegin outomaties met instandhoudingstyd.
      • Herlaai na installasie: Outomatiese herbegin by onderhoudstyd.
      • Aktiewe ure: Gebruiker-beheerde aktiewe ure.
      • Sperdatum vir herbegin (dae): 2 (vir die vlieëniergroep). Vir groter groepe, 5 tot 7 dae.

  9. Klik Volgende.

  10. Omvangetikette: Voeg omvangetikette opsioneel by. Klik op Volgende.

  11. Opdragte: Ken hierdie opdateringring toe aan 'n Azure AD-toestelgroep (bv. Pilot_Device_Group).

  12. Klik Volgende.

  13. Hersien + skep: Gaan die instellings na en klik Skep.

    • Verduideliking: Jy moet veelvuldige opdateringsringe skep (bv. Pilot, Fast, Slow) met verskillende uitstelperiodes om voorsiening te maak vir 'n gefaseerde ontplooiing van opdaterings, wat die risiko van versoenbaarheidskwessies tot die minimum beperk.

2. Skep kenmerkopdateringsprofiele vir Windows (kenmerkopdaterings vir Windows 10 en later)

Kenmerkopdateringprofiele laat jou toe om toestelle na 'n spesifieke weergawe van Windows te teiken (bv. Windows 11 22H2).

  1. In die linkernavigasiepaneel van die Microsoft Intune-administrasiesentrum, kies Toestelle > Deur platform > Windows.
  2. Onder Bestuur opdaterings, kies Windows 10 en later kenmerkopdaterings.

  3. Klik + Skep profiel.

  4. Basies:

    • Naam: Gee 'n betekenisvolle naam (byvoorbeeld: Atualizacao_Recurso_Windows11_23H2).
    • Beskrywing: Verskaf 'n duidelike beskrywing (bv. Windows 11 23H2-ontplooiing na geskikte toestelle.).

  5. Klik Volgende.

  6. Kenmerkopdateringinstellings:

    • Hulpbronweergawe wat ontplooi moet word: Kies die verlangde weergawe (byvoorbeeld: Windows 11, weergawe 23H2).
    • Beskikbaarheidsdatum: Stel die datum waarop die opdatering vir toestelle beskikbaar sal wees.
    • Einddatum: Stel opsioneel 'n einddatum vir die opgraderingsaanbod.

  7. Klik Volgende.

  8. Omvangetikette: Voeg omvangetikette opsioneel by. Klik op Volgende.

  9. Opdragte: Ken hierdie profiel toe aan 'n Azure AD-toestelgroep (byvoorbeeld: Windows11_Device_Group).

  10. Klik Volgende.

  11. Hersien + skep:Gaan die instellings na en klik Skep.

    • Verduideliking: Hierdie profiel sal verseker dat toestelle in die toegewysde groep die spesifieke weergawe van Windows 11 23H2 ontvang. Dit is belangrik om kenmerkopdaterings in kleiner groepe te toets voordat dit wyd ontplooi word.

3. Monitering van opdateringstatus

Intune bied kontroleskerms en verslae om opdateringsvordering en nakoming te monitor.

  1. In die linkernavigasiepaneel van die Microsoft Intune-administrasiesentrum, kies Toestelle > Deur platform > Windows.
  2. Onder Bestuur opdaterings, kies Windows Update Rings.
  3. Klik op die opdateringring wat jy wil monitor (byvoorbeeld: Anel_Atualizacao_Piloto_Windows).

  4. In die opdateringsoorsig kan jy die Device Deployment Status en User Update Status sien, wat wys hoeveel toestelle voldoen, hoeveel foute het, ens.

  5. Vir meer gedetailleerde verslae, in die linkernavigasievenster van die Intune-administrasiesentrum, kies Verslae > Windows-opdaterings.

  6. Hier kan jy verslae soos Windows Update Compliance Report en Windows Feature Updates Report vind om 'n omvattende oorsig van die status van opdaterings in jou organisasie te kry.

Bekragtiging en toetsing

Dit is van kritieke belang om opdateringsbeleide te toets om te verseker dat hulle werk soos verwag en dat toestelle opdaterings korrek ontvang.

1. Toets opdateringsringe (gehalteopdaterings)

  1. Scenario: Registreer 'n toets Windows-toestel in Intune en ken dit toe aan Pilot_Device_Group.
  2. Verwagte aksie: Die toestel moet kwaliteitopdaterings ontvang en installeer volgens die Anel_Atualizacao_Piloto_Windows-beleid (met 'n vertraging van 0 dae, d.w.s. vinnig).
  3. Verifikasie:
    • Gaan op die toetstoestel na Instellings > Windows Update en gaan die opdateringsgeskiedenis na.
    • Gaan in die Intune-administrasiesentrum na die Toestelontplooiingstatus vir Anel_Atualizacao_Piloto_Windows en Windows Update Compliance Report om te bevestig dat die toestel voldoen.
    • Opdrag op toestel (PowerShell as Admin): powershell Kry-WindowsUpdateLog
      • Verduideliking: Hierdie opdrag genereer 'n gedetailleerde log van Windows Update-aktiwiteite, nuttig vir die oplos van probleme.

2. Toets hulpbronopdateringprofiele

  1. Scenario: Registreer 'n toets Windows-toestel in Intune en ken dit toe aan Windows11_Device_Group.
  2. Verwagte aksie: Die toestel moet die Windows 11 Feature Update, weergawe 23H2 ontvang en installeer.
  3. Verifikasie:
    • Op die toetstoestel, gaan na Instellings > Stelsel > Meer oor en gaan die Windows-weergawe na.
    • Gaan in die Intune-administrasiesentrum na die Toestelontplooiingstatus vir die Atualizacao_Recurso_Windows11_23H2-profiel en die Windows-funksieopdateringsverslag.

Sekuriteitswenke en beste praktyke

  • Dateer ringstrategie op: Implementeer 'n gefaseerde opdateringringstrategie (bv. Pilot, Small, Medium, Large) om opdaterings op 'n subset van toestelle te toets voordat hulle breedweg ontplooi word. Dit verminder die risiko van onderbrekings.
  • Instandhoudingsvensters: Stel instandhoudingsvensters op en herbegin spertye wat die impak op gebruikerproduktiwiteit minimaliseer, maar verseker dat opdaterings betyds toegepas word.
  • Deurlopende monitering: Monitor gereeld opdateringsverslae in Intune en stel waarskuwings op vir toestelle wat nie voldoen aan of opdateringsfout nie.
  • Verenigbaarheidstoetsing: Voordat jy groot kenmerkopdaterings ontplooi, voer versoenbaarheidstoetse uit met kritieke toepassings en hardeware in jou omgewing.
  • Afleweringsoptimering: Gebruik kenmerke soos afleweringsoptimalisering om netwerkbandwydteverbruik te verminder wanneer opdaterings oor jou organisasie versprei word.
  • ** Bestuurderbestuur**: Wees versigtig met bestuurderopdaterings. Oorweeg dit om bestuurderopdaterings uit te stel of om dit omvattend te toets voor breë ontplooiing, aangesien problematiese drywers ineenstortings kan veroorsaak.vermoë in die stelsel.
  • Integrasie met Microsoft Defender for Endpoint: Intune en Defender for Endpoint werk saam om eindpuntsekuriteit te verseker. Defender for Endpoint kan insig gee in kwesbaarhede wat met pleisters reggestel kan word.

Algemene probleemoplossing

  • Toestelle ontvang nie opdaterings:
    • Verifieer dat die toestel by Intune ingeskryf is en dat die opdatering-/kenmerkringbeleide aan die korrekte toestelgroep toegewys is.
    • Gaan op jou toestel na die verbinding met Windows Update. Begin wuauclt.exe /reportnow (vir Windows 10) of usoclient StartScan (vir Windows 11) vanaf die opdragprompt.
    • Gaan Windows Update-logboeke op die toestel na deur Get-WindowsUpdateLog in PowerShell te gebruik.
    • Gaan Aktiewe ure-instellings na in Intune; As die toestel altyd binne aktiewe ure is, sal dit dalk nie herbegin om opdaterings te installeer nie. Opdaterings kan nie installeer nie:
    • Gaan die Windows Update-logboeke op die toestel na vir spesifieke foutkodes.
    • Maak seker dat jou toestel genoeg skyfspasie het.
    • Verenigbaarheidskwessies met bestaande sagteware of drywers kan die oorsaak wees. Toets in 'n beheerde omgewing.
    • Gaan toestelnetwerkverbinding na met Windows Update-dienste.
  • Toestelle verskyn nie in Intune-verslae wat voldoen nie:
    • Dit kan 'n rukkie neem voordat voldoeningstatus aan Intune teruggerapporteer word. Wag 'n paar uur.
    • Maak seker dat jou toestel aktief is en met Intune kommunikeer.
    • Verifieer dat voldoeningsbeleide korrek aan die toestel toegewys is.
  • Vals positiewe (toestel kom voor as nie-voldoenend, maar is op datum):
    • Gaan die status van opdaterings op die toestel handmatig na. As dit op datum is, kan dit 'n vertraging in Intune-verslagdoening wees.
    • Herbegin die Intune Client Management-diens op die toestel (net stop dmwappushservice && net start dmwappushservice).

Gevolgtrekking

Microsoft Intune is 'n onontbeerlike hulpmiddel vir die bestuur van sekuriteitsreëlings en -opdaterings in Windows-omgewings. Deur die ontplooiing van kwaliteit- en kenmerkopdaterings te outomatiseer en fyn beheer oor die proses te verskaf, stel Intune organisasies in staat om hul toestelle veilig te hou en te voldoen aan die nuutste beskerming teen kuberbedreigings. Die implementering van 'n opdateringstrategie, tesame met deurlopende monitering en proaktiewe probleemoplossing, is van kritieke belang om 'n veerkragtige IT-omgewing te verseker. Met hierdie praktiese gids sal sekuriteitspersoneel en IT-administrateurs goed toegerus wees om Microsoft Intune op te stel, te valideer en te bestuur, om hul eindpuntsekuriteitsposisie te versterk en hul organisasie se bates te beskerm.

Verwysings:

[1] Microsoft Learn. Bestuur Windows-sagteware-opdaterings in Intune. Beskikbaar by: https://learn.microsoft.com/pt-br/intune/intune-service/protect/windows-update-for-business-configure [2] Microsoft Learn. Wat is Microsoft Intune?. Beskikbaar by: https://learn.microsoft.com/pt-br/intune/overview [3] Microsoft Learn. Bestuur Windows-opdaterings met Intune. Beskikbaar by: https://learn.microsoft.com/pt-br/mem/intune/protect/windows-update-for-business-configure [4] Microsoft Learn. Microsoft Intune-lisensiëring. Beskikbaar by: https://learn.microsoft.com/pt-br/mem/intune/fundamentals/licenses [5] Microsoft Learn. Stel Windows Update-ringe op in Intune. Beskikbaar by: https://learn.microsoft.com/pt-br/mem/intune/protect/windows-10-update-rings [6] Microsoft Learn. Konfigureer Windows 10 en later kenmerkopdaterings in Intune. Beskikbaar by: https://learn.microsoft.com/pt-br/mem/intune/protect/windows-10-feature-updatestes) [7] Microsoft Learn. Windows Update verslae in Intune. Beskikbaar by: https://learn.microsoft.com/pt-br/mem/intune/protect/windows-update-reports